I detta dokument finns steg för att lösa vanliga felmeddelanden som du kan stöta på vid integrering eller användning av SAML-baserad enkel inloggning (SSO) med Google Workspace.
Konfiguration och aktivering
Denna domän är inte konfigurerad för enkel inloggning.Felet indikerar vanligtvis att du försöker använda enkel inloggning med en (kostnadsfri) standardversion av G Suite, som inte har stöd för enkel inloggning. Om du är säker på att du använder en Google Workspace-utgåva som har stöd för enkel inloggning kontrollerar du konfigurationen hos identitetsleverantören och ser till att du har angett rätt domännamn för Google Workspace.
Om det här felet uppstår när du har konfigurerat SSO med profiler beror det troligen på att din IdP felaktigt förutsätter att du använder SSO-profilen för organisationen. Om så är fallet kan dina inställningar för IdP SSO-profil bara användas om du använder dem för att konfigurera SSO-profilen för organisationen.
Felet indikerar att du inte har konfigurerat enkel inloggning korrekt på Google Administratörskonsol. Läs igenom följande steg för att rätta till problemet:
- I administratörskonsolen öppnar du Säkerhet Konfigurera enkel inloggning med en extern IdP och markerar Konfigurera enkel inloggning med extern identitetsleverantör.
- Ange webbadresser för din organisations inloggningssida, utloggningssida och sida för att ändra lösenord i respektive fält.
- Välj och ladda upp en giltig fil med verifieringscertifikat.
- Klicka på Spara, vänta några minuter för att ändringarna ska träda i kraft, och testa integrationen igen.
Kontrollerar SAML-svaret
Den obligatoriska responsparametern SAMLResponse saknadesFelmeddelandet indikerar att din identitetsleverantör inte skickar Google ett giltigt SAML-svar av något slag. Problemet beror nästan helt säkert på ett konfigurationsproblem hos identitetsleverantören.
- Kontrollera identitetsleverantörens loggar och kontrollera att det inte finns något som hindrar korrekt återgivning av ett SAML-svar.
- Kontrollera att identitetsleverantören inte skickar ett krypterat SAML-svar till Google Workspace. Google Workspace accepterar enbart SAML-svar som inte är krypterade. Notera särskilt att Microsofts Active Directory Federation Services 2.0 ofta skickar krypterade SAML-svar i standardkonfigurationer.
SAML 2.0-specifikationen kräver att identitetsleverantörerna hämtar och skickar tillbaka en URL-parameter för RelayState från resursleverantörerna (t.ex. Google Workspace). Google Workspace förmedlar detta värde till identitetsleverantören i SAML-begäran och det exakta innehållet kan variera i varje inloggning. För att autentiseringen ska kunna slutföras måste exakt RelayState återges i SAML-svaret. Enligt SAML-standardspecifikationen ska inte din identitetsleverantör ändra RelayState under inloggningsflödet.
- Diagnostisera frågan ytterligare genom att spara HTTP-huvudena under ett inloggningsförsök. Extrahera RelayState från HTTP-huvud med både SAML-förfrågan och -respons, och se till att RelayState-värdena i förfrågan och respons matchar varandra.
- De flesta SSO-identitetsleverantörer som är kommersiellt tillgängliga eller har öppen källkod överför RelayState sömlöst som standard. För optimal säkerhet och pålitlighet rekommenderar vi att du använder någon av de befintliga lösningarna. Vi kan inte erbjuda support för någon egen, anpassad SSO-programvara.
Innehåll i SAML-svaret
Den här tjänsten kan inte nås eftersom inloggningsförfrågan innehöll ogiltig information om [destination|audience] Logga in och försök igen.Det här felet indikerar att destinationen, målgruppen eller mottagarelementen i SAML-påståendet innehöll ogiltig information eller var tomma. Alla element måste ingå i SAML-kontrollen. Följande tabell innehåller beskrivningar och exempel för varje element.
Element | <Audience> |
---|---|
Beskrivning | URI som identifierar den tänkta målgruppen som kräver värdet från ACS URI. Obs! Elementvärdet får inte vara tomt. |
Obligatoriskt värde | https://www.google.com/a/<example.com>/acs |
Exempel |
<saml:Conditions NotBefore="2014-11-05T17:31:37Z" |
Element | Destinationsattribut i typen <StatusResponseType> |
---|---|
Beskrivning | URI som SAML-kontrollen skickas till. Valfritt, men om det anges kräver det värdet från ACS URI. |
Obligatoriskt värde | https://www.google.com/a/<example.com>/acs |
Exempel |
<saml:Response |
Element | Attributet Recipient för <SubjectConfirmationData> |
---|---|
Beskrivning |
|
Obligatoriskt värde | https://www.google.com/a/<example.com>/acs |
Exempel |
<saml:Subject> |
För mer information om alla obligatoriska element kan du läsa artikeln Krav för SSO-kontroll.
Detta fel indikerar vanligtvis att SAML-responsen från din identitetsleverantör saknar ett läsbart mottagar-värde (eller att mottagar-värdet är felaktigt). Värdet Recipient är en viktig del av SAML-svaret.
- Diagnostisera frågan ytterligare genom att spara HTTP-huvudena under ett inloggningsförsök.
- Extrahera SAML-begäran och -svar från HTTP-huvudena.
- Se till att mottagarvärdet i SAML-responsen existerar och att det matchar värdet i SAML-förfrågan.
Obs! detta felmeddelande kan också visas som ”Den här tjänsten kan inte nås eftersom din inloggningsförfrågan innehöll ogiltig information om mottagaren. Logga in och försök igen.”
Felet indikerar ett problem med certifikaten som du använder för att signera autentiseringsflödet. Det betyder vanligtvis att den privata nyckel som används för att signera SAML-svaret inte överensstämmer med det allmänna nyckelcertifikat som finns lagrat i Google Workspace.
Felet kan även inträffade om att ditt SAML-svar inte innehåller ett giltigt användarnamn för Google-kontot. Google Workspace analyserar SAML-svaret för ett XML-element som kallas NameID och elementet förväntas innehålla ett Google Workspace-användarnamn eller en fullständig e-postadress i Google Workspace.
- Kontrollera att du har laddat upp ett giltigt certifikat till Google Workspace och byt ut certifikatet om det behövs. I Google Administratörskonsol öppnar du Säkerhet Konfigurera enkel inloggning med en extern IdP och klickar på Ersätt certifikat.
- Om du använder en fullständig e-postadress i NameID-elementet (vilket du måste göra om du använder enkel inloggning med en G Suite-miljö för flera domäner), ska du se till att Format-attributet i NameID-elementet specificerar att en fullständig e-postadress ska användas, som i följande exempel: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
- Se till att du fyller i NameID-elementet med ett giltigt användarnamn eller e-postadress. För att vara säker kan du extrahera det SAML-svar som du skickar till Google Workspace och kontrollera värdet för elementet NameID.
- NameID är skiftlägeskänsligt: Se till att SAML-svaret fyller på NameID med ett värde som matchar skiftläget i användarnamnet eller e-postadressen i Google Workspace.
- Om identitetsleverantören krypterar SAML-kontrollen ska du inaktivera krypteringen.
- Se till att SAML-svaret inte innehåller några icke-standardiserade ASCII-tecken. Problemet förekommer oftast i attributen DisplayName, GivenName och Surname i AttributeStatement, till exempel:
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
<AttributeValue>Blüte, Eva</AttributeValue> </Attribute> - <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Blüte</AttributeValue> </Attribute>
- <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
Mer information om hur du formaterar NameID-elementet finns i Krav för SSO-kontroll.
Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tid för att autentiseringen ska lyckas. Om klockan på din identitetsleverantör inte går rätt verkar det som att de flesta eller alla inloggningsförsök görs utanför den godkända tidsramen och autentiseringen kommer att misslyckas. Ovanstående felmeddelande visas.
- Kontrollera klockan på din identitetsleverantörs server. Felet beror nästan alltid på att identitetsleverantörens klocka går fel, vilket infogar felaktiga tidsstämplar i SAML-svaret.
- Synkronisera om identitetsleverantörens serverklocka med en pålitlig tidserver på internet. När detta plötsligt händer i en produktionsmiljö beror det oftast på att synkroniseringen misslyckades förra gången så att servertiden blir felaktig. Upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) för att snabbt lösa problemet.
- Problemet kan också uppstå om du skickar om SAML från ett tidigare inloggningsförsök. Att undersöka SAML-begäran och -svaret (hämtas från HTTP-huvudloggarna som sparats under ett inloggningsförsök) kan hjälpa dig att felsöka detta vidare.
Av säkerhetsskäl måste SSO-inloggningsflödet slutföras inom en viss tid för att autentiseringen ska lyckas. Om klockan på din identitetsleverantör inte går rätt verkar det som att de flesta eller alla inloggningsförsök görs utanför den godkända tidsramen och autentiseringen kommer att misslyckas. Ovanstående felmeddelande visas.
- Kontrollera klockan på din identitetsleverantörs server. Felet beror nästan alltid på att identitetsleverantörens klocka går fel, vilket infogar felaktiga tidsstämplar i SAML-svaret.
- Synkronisera om identitetsleverantörens serverklocka med en pålitlig tidserver på internet. När detta plötsligt händer i en produktionsmiljö beror det oftast på att synkroniseringen misslyckades förra gången så att servertiden blir felaktig. Upprepa tidssynkroniseringen (eventuellt med en mer pålitlig tidsserver) för att snabbt lösa problemet.